ЗАО «Удостоверяющий центр» ekey.ru | 2006 Удостоверяющий центр ekey.ru Идентификация и аутентификация в Интернет
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Содержание 1.Понятия идентификации и аутентификации 2.Особенности пространства Интернет 3.Классический метод на основе логина/пароля 4.Механизмы Single Sign-On 5.Двухфакторная аутентификация 6.Аутентификация в электронной почте 7.Радиочастотные метки 8.Биометрия 9.Использование сертификатов и PKI
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Идентификация (Identification) - Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов Понятия идентификации и аутентификации Аутентификация (Authentication) - Проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Особенности пространства Интернет большое количество потенциальных пользователей (потенциальные пользователи – все пользователи сети Интернет – а это сотни миллионов пользователей) отсутствие физической и организационной централизации пользователей (пользователь может быть расположен в любой точки Земли и не быть ассоциированным с какой-нибудь определенной организацией) невозможно осуществления физического или доверенного контакта с пользователями вследствие их физической и организационной децентрализации передача данных по недоверенным каналам связи (сеть Интернет)
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Преимущества: Простота реализации Недостатки: сложность формирования уникальных логинов для всех пользователей (даже использование ФИО не решает вопроса, вследствие наличия однофамильцев, в том числе и полных) использование пользователями простых паролей возможность атак по подбору, в том числе и по подбору «по словарю», использование пользователями «простых и коротких паролей» необходимость запоминать пользователем логина и пароля (и чем он сложнее, тем больше вероятность его записывания) возможность «подсмотреть» пароль, узнать его у пользователя, «прослушать» при передаче по сети необходимость использования разных логинов и паролей для разных ресурсов/информационных систем хранение «пароля» или его хэша (отпечатка) в информационной системе для «сравнения» при аутентификации широко распространенные и легко реализуемые методы атак на пароли (кейлоггеры, которые записывают все нажатия клавиш (такие программы часто устанавливаются в интернет-кафе); программы для подбора несложных паролей; специальные вирусы; сайты, которые предлагают пользователю зарегистрироваться с одной целью узнать его пароль) Идентификация и аутентификация с использованием логина и пароля
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Идея - использование единого идентификатора для различных ресурсов/информационных систем, что избавляет от необходимости вводить каждый раз логин и пароль, запоминать только одну пару логина и пароля Механизмы Single Sign On Имеющиеся решения: хранилища паролей на рабочем месте пользователя Single sign on в корпоративных системах Попытки реализовать сервисы Single Sign On в глобальных системах (например Microsoft.Net Passport) массовым успехом не увенчались
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Задача - увеличение надежности аутентификации. Для аутентификации пользователю необходимо 1 - «знать нечто» (pin-код) 2 - «владеть чем-то» (смарт-картой, генератором паролей или биометрической информацией) при этом механизм аутентификации должен обеспечивать по возможности сохранение аутентификационной информации в тайне (например, путем использования асимметричных криптографических алгоритмов) Двухфакторная аутентификация Увеличение надежности достигается путем гарантированного сохранения аутентификационной информации в тайне и обеспечения гарантий того, что аутентификатор неразрывно связан с аутентифицирующимся законным пользователем.
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Задачи: 1. Обеспечить идентификацию почтовых серверов при отправлении сообщений (идентифицировать источник сообщений) – в первую очередь для борьбы с массовой рассылкой нежелательных сообщений 2. Достоверно определить отправителя при получении сообщения Аутентификация в электронной почте
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Обеспечение идентификации почтовых серверов при отправлении сообщений Цель: борьба с нежелательными рассылками сообщений Наиболее распространенные решения: SIDF (Sender ID Framework) – разработка Microsoft DomainKeys – совместная разработка Yahoo, Cisco, Sendmail, IBM, PGP, Verisign Оба решения позволяют идентифицировать сервер, отправляющий сообщение электронной почты что исключает отправку писем с поддельных адресов электронной почты На сегодняшний день ни одна из технологий не получила всеобщего распространения. Основные причины – патентные ограничения на технологии и необходимость модифицировать программное обеспечение большого количества почтовых серверов по всему миру
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Технология RFID - удачная попытка заменить штрих-код (для считывания которого нужна прямая видимость между считывателем и штрих-кодом, участие человека для правильного позиционирования считывателя, малый объем информации) на идентификацию по радио каналу RFID позволяет автоматически идентифицировать изделия посредством регистрации радиоволн. Чаще всего идентификация проходит по номеру или другая информация, заложенной в микрочип с антенной RFID – Радиочастотные метки Технология RFID меток –прежде всего технология идентификации и может работать только при доверенном считывающем. При использовании удаленных недоверенных считывателей необходимы дополнительные методы аутентификации.
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Понятия идентификации и аутентификации Обеспечивает удобный способ идентификации личности по физиологическим особенностям человека, которые неотделимы (сложно отделимы) от него Аутентификации по биометрической информации возможна только если считыватель находится в доверенной среде Удобно использовать биометрические методы идентификации совместно с методами аутентификации – смарт-картами, паролями, сертификатами открытых ключей Наиболее распространенные методы биоидентификации: по форме лица, по отпечатку пальца, по сетчатке или радужной оболочке глаза, по форме ладони
ЗАО «Удостоверяющий центр» ekey.ru | 2006 Идентификация и аутентификация Достоинства: Высокая надежность аутентификации Большое количество формализованной идентификационной информации в сертификате открытого ключа Возможность использования для обеспечения целостности данных и подтверждения авторства Хранение в сертификате биометрической информации Использование сертификатов совместно с аппаратными устройствами идентификации (токенами, смарт-картами) для обеспечения двухфакторной аутентификации Возможность использования недоверенных удаленных терминалов для идентификации и аутентификации Возможность комбинирования с другими способами идентификации и аутентификации Недостатки: Относительная сложность используемых технологий Сертификаты открытых ключей и криптографические технологии
ЗАО «Удостоверяющий центр» ekey.ru | Закрытое акционерное общество «Удостоверяющий центр» ekey.ru Генеральный директор Афанасьев Георгий Эдгардович Телефон (8312) (8312) (495)